Cyberwarfare: de digitale oorlog barst los
Eind 2020 werd de cybersecuritywereld opgeschrikt toen het nieuws uitlekte over een grootschalige hackersaanval op het Amerikaanse IT-bedrijf SolarWinds. Door binnen te dringen in het softwareplatform Orion wisten hackers duizenden klanten van SolarWinds te treffen met valse updates voor het platform. Tussen de lijst van getroffen organisaties zaten heel wat opvallende namen. De naam van Microsoft viel regelmatig en zelfs het Amerikaanse ministerie van Defensie zou maandenlang bespioneerd zijn geweest.
Cybersecurity-experts waren met verstomming geslagen. Zelden nam een cyberaanval zulke grote proporties aan als de aanval op SolarWinds. Bedrijven wereldwijd, ook Belgische organisaties, steunden op het Orion-platform. Experts spreken daarom van een ‘supply chain aanval’. Door een leverancier in het begin van de softwareketen te treffen, lok je een globale kettingreactie uit. Dat maakt het ontzettend moeilijk om de impact van de aanval in te schatten. Bovendien voerden de hackers hun aanvalstactiek uit met veel technisch vernuft en precisie. Het eerste zaadje werd in 2019 geplant in het SolarWinds-systeem. Bijna twee jaar lang bleven de hackers volledig onder de radar.
Het is tot vandaag nog altijd onduidelijk wie nu precies achter de aanval zit. De Amerikaanse regering aarzelde niet om met een beschuldigende vinger naar Rusland te wijzen. Wanneer staten elkaar digitaal aanvallen, spreken we van ‘cyberwarfare’. Cybersecurity-onderzoekers Simen Van der Perre (Orange Cyberdefense Belgium) en Yaniv Balmas (Hoofd Cyber Research bij Check Point Software) leggen ons uit wat cyberwarfare precies is en in welke mate we ons als burgers zorgen moeten maken over digitale veldslagen.
Wat is het motief?
Een eerste onderscheid dat we moeten maken is dat tussen cyberwarfare en cybercrime. Het grote verschil tussen deze verschillende types cyberaanvallen zit in het achterliggende motief van de hackers. Cybercriminelen zijn uit op snel geldgewin. Ze proberen op een slinkse manier geld af te troggelen van bedrijven of individuen. Dat kan aan de hand van phishingmails of het blokkeren van IT-systemen met ransomware. Wie of wat het slachtoffer nu precies is, maakt voor de aanvallers in principe niet uit. Iedereen loopt het risico een direct slachtoffer te worden van cybercrime. Tegen cybercrime kan je je wel relatief goed beschermen door je toestellen voldoende te beveiligen tegen de gekende vormen van cybercriminaliteit.
In de context van cyberwarfare zijn er geen financiële, maar politieke motieven in het spel. Regeringen bezorgen hackers de financiële en technische middelen om een gerichte aanval uit te voeren op een vijandelijke natie. Hierbinnen bestaan nog verschillende gradaties. Het doel van cyberspionage is het stelen van geheime informatie zonder gedetecteerd te worden. Van zodra je ontdekt bent, is de operatie mislukt. Voor Simen Van der Perre bestaat er geen twijfel over dat de SolarWinds-hack spionage als doel had. Het Orion-platform werd gebruikt als toegangspoort tot kritieke overheidsinformatie.
Maar cyberwarfare kan ook veel agressievere gradaties aannemen. Soms proberen hackers kritieke infrastructuur zoals communicatie- of energienetwerken te verstoren om een natie flinke schade toe te brengen. Dan is onder de radar blijven minder een prioriteit. Of het nu gaat om spionage of directe oorlogsvoering, een cyberaanval met politieke motieven is altijd gericht op een specifiek geselecteerd target. Het slachtoffer moet ‘belangrijk’ zijn. Als burger loop je dus niet meteen het risico om het directe slachtoffer te zijn van een cyberwaraanval. Omdat de daders met meer middelen kunnen werken, zijn hun methoden vaak ook veel preciezer en geavanceerder dan die van cybercriminelen. Niet dat cybercriminelen amateurs zijn, maar zij werken vaak toch willekeuriger.
De keerzijde van digitalisering
Oorlog is al even oud als de mensheid, maar cyberwarfare is nog een relatief nieuw militair fenomeen. De eerste bekende cyberoorlog dateert van 2007, toen verscheidene ministeries, banken en media van Estland simultaan gehackt werden. De aanleiding was een controverse rond De Bronzen Soldaat, een oorlogsmonument uit het Sovjet-tijdperk in de hoofdstad Tallinn. Het Estse parlement stemde in januari 2007 een nieuwe wet die de verplaatsing van oorlogsmonumenten vorderde als die op ‘ongepaste plaatsen’ stonden. De aanvallen werden uitgevoerd vanuit servers van de Russische overheid, al claimde die uiteraard dat de hackers niet in hun opdracht werkten. De context en het onduidelijke motief doen vermoeden dat deze aanval eerder een vorm van ‘hacktivisme’ was en niet zozeer militaire oorlogsvoering.
Rond dezelfde tijd waarschuwde de Israëlische overheid dat de terreurgroep Hezbollah uit Libanon Russische hackers zou inschakelen om hen aan te vallen. De optelsom van deze twee conflicten maakten dat de wereldleiders attent moesten zijn voor een onbekende militaire dreiging. In juni 2007 hield de NAVO een eerste top rond cyberwarfare.
Het hoeft niet te verbazen dat de voorbije 15 jaar het aantal cyberaanvallen flink is toegenomen. De digitalisering van de maatschappij heeft in die tijd enorme sprongen gemaakt. Digitalisering is positief voor maatschappelijke vooruitgang, maar heeft ook een keerzijde. “Het internet is een speeltuin voor hackers”, zegt Yaniv Balmas daarover. Jaar op jaar zien we alarmerende rapporten met stijgende cybercriminaliteitscijfers verschijnen. Ook oorlogsvoering is van het front naar de digitale wereld aan het verschuiven. De vraag is nu hoe gevaarlijk dat is voor ons als burgers. De dodentol van digitale oorlogsvoering is gelukkig minimaal en tenzij je een belangrijke post in een overheidsinstelling uitoefent, loop je als individu maar weinig direct gevaar. Klinkt allemaal niet zo erg, toch? Vergis je niet, de gevolgen van cyberwarfare zijn groot voor de maatschappij. Balmas vreest vooral voor de impact op onze privacy. Internetbedrijven registreren zowat alles wat we doen met hun platformen. Die data wordt bewaard in enorme databanken die normaal gezien ver buiten ons bereik blijven. De enorme hoeveelheden data die dergelijke databanken bevatten zijn voor hackers interessante doelwitten om bedrijven te chanteren of de informatie door te spelen aan hun overheid.
De impact van sabotage is natuurlijk veel voelbaarder dan die van spionage. Een geslaagde aanval op energiecentrales kan een land zonder stroom zetten en communicatienetwerken verstoren veroorzaakt eveneens grote chaos onder de bevolking. Experts vrezen dat door toegenomen digitalisering de dreiging van cyberwarfare zeker niet zal afnemen, integendeel. Hoe afhankelijker we worden van technologie, hoe meer macht degenen krijgen die van technologie een wapen kunnen maken.
“Cyber warfare blijft meer onder de radar, maar is niet minder schadelijk.”
Geen ‘goed vs slecht’-verhaal
Van welke landen moeten we nu het meeste schrik hebben? Bij grote cyberwarfare-incidenten wordt steevast naar dezelfde landen gewezen: Rusland, China, Iran en Noord-Korea. Maar dat wil volgens Balmas niet zeggen dat andere landen niet mee doen aan digitale oorlogsvoering. “Deze landen zijn toevallig al eens tegen de lamp gelopen. Maar het is niet omdat een natiestaat nog niet betrapt is, dat ze niet investeren in cyberwar”.
Cyberwarfare mag dan ook zeker niet als een ‘goed versus slecht’-verhaal worden afgeschilderd. Het is net zoals fysieke vormen van oorlogsvoering niet meer dan een weerspiegeling van de geopolitieke machtsverhoudingen in de wereld. Wanneer een Amerikaans bedrijf zoals SolarWinds wordt aangevallen, dan is het niet onlogisch dat de schuldige gezocht wordt bij natiestaten die geen goede politieke en economische relaties hebben met de Verenigde Staten. Dan kom je al snel bij eerder genoemde naties uit. Vanwege de globale impact van Amerikaanse technologie worden cyberwaraanvallen op de Verenigde Staten het meest gemediatiseerd. Maar aanvallen gebeuren evengoed in de omgekeerde richting. Het Amerikaanse leger is er al meermaals in geslaagd om militaire IT-systemen van zijn eigen politieke rivalen via cyberaanvallen lam te leggen. Elke actor in het cyberwar-strijdtoneel is dader én slachtoffer.
Cyberwarfare op de politieke agenda
De opkomst van cyberwarpraktijken heeft overheden ertoe gedwongen hun defensiestrategie te herbekijken. Cybersecurity is een politieke aangelegenheid geworden. Op de top in 2007 zette de NAVO een eerste aanzet tot globale coöperatie middels het Coöperative Cyber Defence Centre of Excellence dat in 2008 werd opgericht en symbolisch een hoofdkwartier in Tallinn kreeg. Toch zijn landen in de eerste instantie vooral op zichzelf aangewezen om hun digitale infrastructuur te beveiligen.
Dat het ene land cyberdefensie al wat serieuzer neemt dan het andere, dat blijkt duidelijk uit de Global Cybersecurity Index van de Internationale Telecommunicatieunie (ITU). De index is een onderzoek dat alle natiestaten ter wereld rangschikt op basis hun paraatheid om cyberaanvallen af te weren. Bepaalde parameters die het onderzoek in beschouwing neemt zijn wetten rond cybersecurity, een organisatorisch kader, technische capaciteiten, investeringen in de uitbreiding van de capaciteiten en initiatieven tot internationale samenwerking. De beste leerlingen van de cybersecurityklas zijn het Verenigd Koninkrijk en de Verenigde Staten volgens die studie. België vinden we terug op de 19e plaats. Ons land doet het op zich dus niet slecht, maar er is nog ruimte voor verbetering. Al leert de praktijk dat zelfs de beste voorzorgmaatregelen niet altijd volstaan om een aanval te voorkomen.
“Bij cyberwar zijn er geen ‘goeden’ of ‘slechten’.”
Cybersecurity in België
Hoe beschermt ons land zich tegen cyberwarfare? Cybersecurity is, in lijn met ons complexe politiek systeem, een gedeelde verantwoordelijkheid tussen de federale overheid en de deelregeringen. De verschillend politieke instanties van ons land stippelen dus in zekere mate een eigen cybersecuritybeleid uit. Gelukkig voor ons werken die organisaties wel in een coöperatieve geest en met een gemeenschappelijk doel voor ogen: de Belgische burger zo goed mogelijk beschermen tegen digitale bedreigingen van buitenaf. Een van de belangrijkste overkoepelende cybersecurityorganisaties van ons land is Cert.be, het federale Computer Emergency Response Team. Dit is de taskforce van het Centrum van Cybersecurity Belgium. Het responsteam treedt op wanneer ze meldingen van potentieel gevaarlijke cyberaanvallen binnenkrijgen, maar analyseert ook proactief de beveiliging van kritieke infrastructuur om het risico op problemen zo laag mogelijk te houden.
De nieuwe Netwerk- en Informatiebeveiligingswet (van kracht sinds 7 april 2019) betekende een grote stap richting een uniform nationaal beleid. Deze wet stelt een duidelijk actieplan op voor aanbieders van essentiële en digitale diensten om hun beveiliging op te trekken. Onder ‘essentiële diensten’ verstaan we leveranciers van energie, water, transport, financiën en gezondheidszorg. Onder digitale diensten zitten IT-services genre cloud, search engines en online marktplaatsen. Dit zijn de types organisaties die vaak worden uitgekozen bij een cyberwaraanval omwille van de fundamentele rol die ze spelen voor de (digitale) maatschappij.
De NIS-wet verplicht organisaties die onder de noemers vallen om zelf voortdurend risicoanalyses uit te voeren naar mogelijk kwetsbare punten in de netwerk- en informatie-infrastructuur. Op basis van die analyses moeten essentiële dienstverleners binnen 12 maanden een beveiligingsplan opstellen met duidelijke maatregelen. In geval van nood geldt voor hen ook een rapportageverplichting voor elk incident dat ‘een aanzienlijke invloed heeft op de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van netwerk- en informatiesystemen waarvan de essentiële diensten afhankelijk zijn’. De NIS-wet is voor cybersecurity wat de GDPR-wetgeving voor gegevensbescherming betekende. Beide wetten zijn ook doorgevloeid vanuit de Europese Unie.
Global Cybersecurity Index 2021
De Global Cybersecurity Index beoordeelt landen op basis van het belang dat ze hechten aan cybersecurity in verhouding tot hun middelen. Hieronder zie je de top 10 uit de meest recente ranglijst van 2021:
- Verenigde Staten
- Verenigd Koninkrijk
- Saoedi-Arabië
- Estland
- Zuid-Korea
- Singapore
- Spanje
- Rusland
- Verenigde Arabische Emiraten
- Maleisië
19. België
2022: is er een cyberoorlog op komst?
Door de spanningen in Oekraïne dreigt Rusland slaags te geraken met het Westen. Het geopolitieke conflict zou wel eens kunnen uitdraaien in een hybride oorlog waarbij Rusland aan de hand van cyberaanvallen belangrijke instituten en organisatie in Europa zal trachten te destabiliseren, en omgekeerd. Een eerste waarschuwing kregen we daar mogelijk al van toen begin februari cyberaanvallen voor problemen zorgden in de haven van Antwerpen. Er is geen bewijs gevonden dat de cyberaanval was ingegeven door de Russische overheid, al kwamen de hackers wellicht uit Rusland.
Dit artikel verscheen origineel op 02/04/2021. Laatst bijgewerkt op 27/02/2022.